超过3,000个组织面临类似Equifax的违规风险

超过3,000个组织可能面临遭受同样漏洞攻击的风险,该漏洞使黑客能够从信用报告公司Equifax获得超过1.43亿美国人的记录

麻烦的数字来自供应链自动化公司Sonatype,它发现共有3,054个组织仍在使用易受攻击的Apache Struts版本,这是一个流行的Web应用程序框架

Sonatype分析了可通过Maven Central存储库获得的数据,Maven Central存储库是Java开源组件的最大分发点(其中Apache Struts是其中之一),并且发现有大量组织继续使用具有漏洞利用的应用程序的应用程序

过去 - 甚至在Equifax事件发生之前

有问题的漏洞是CVE-2017-5638,它是在今年3月首次发现的,被认为是零日攻击,可能会受到攻击,因为该软件制造商并未意识到这一点,或者尚未通过补丁或修复

到3月6日,该漏洞的补丁已经提供,并且可以由使用Apache Struts的任何人应用 - 尽管值得注意的是更新过程被认为是困难的并且有些劳动密集型,这可能导致采用率降低

漏洞公布后,攻击者开始针对未能快速修补漏洞的组织

思科系统公司的研究人员认为这个漏洞至关重要,并指出利用漏洞的“大量利用事件”

在一个实例中,恶意组使用Apache Struts漏洞利用程序在许多本地联网的计算机上安装Cerber勒索软件

这一努力最终使比特币中的黑客组织超过10万美元

虽然这些攻击事件发生在漏洞披露之后,但在补丁发布两个月后,Equifax遭到了攻击

导致个人信息,信用卡和社会安全号码的黑客行为发生在5月份,而不是数百万美国消费者,并且直到7月29日才被发现

不幸的是,即使有关于Equifax漏洞的揭露,许多公司也是如此

在Apache Struts框架方面,他们的卫生状况仍然很差

根据Sonatype的说法,除了超过3,000个组织下载过去12个月中被披露为易受攻击的Apache Struts版本之外,另有1,731个组织下载了早在2013年7月被披露为易受攻击的框架版本尽管框架的安全和稳定版本可用,但总共有46,557个组织下载了一个版本的Apache Struts或其中一个具有已知漏洞的子项目

Sonatype首席执行官Wayne Jackson在一份声明中说:“就像那些不小心将过期牛奶从杂货店带回家的人一样,那些下载和部署已知易受攻击的开源组件的公司根本就没有引起注意

”新闻周刊将于9月26日至27日在旧金山举办结构安全活动

图片:新闻周刊媒体集团“Equifax漏洞突显了这样一个事实:当黑客通过定位已知易受攻击的软件组件轻松利用应用程序时,单独的边界安全性不足以保护个人数据

上一篇 :月亮正在通过覆盖它们来解决几个行星的聚光灯今晚
下一篇 Credit Stacker应用程序为Fintech带来游戏